Tekniksmart.se skriver att allt som behövdes var att hackare lyckades övertala en intet ont anande Alexa-användare att klicka på en specifik länk på internet. På grund av stora säkerhetshål kring hur Amazon och Alexa använder underdomäner kunde hackare nå underliggande infrastruktur via speciellt designad kod.

Mer specifikt via underdomänen track.amazon.com, en sajt som är helt orelaterad till Alexa och som används för att spåra paket från Amazon. Den underdomänen blev en öppen dörr för hackare via snillrikt skapad kod som injicerades mellan användaren och Amazons tjänster.

Det stora problemet här är att Amazons tjänster misstar hackarna för legitima användare och öppnar porten för dem. Därefter kan hackarna se en komplett ljudhistorik för röstkommandon, se vilka skills som är installerade och liknande.

Sårbarheten gjorde även att obehöriga kunde kontrollera skills genom att avinstallera eller installera nya. Den senare är extra farlig eftersom det kan användas för att lura användarna att göra saker som hjälper hackarna på olika vis.

Sårbarheten med underdomänerna fixades omedelbart efter att Check Point kontaktat Amazon. Amazon säger också att de inte har hittat bevis på att hackare faktiskt nyttjat sårbarheten eller att information hamnat i obehörigas ägo.

Check Point i sin tur menar att sårbarheten var så knepig att använda, att de inte är förvånade att Amazon missat den. Check Point säger också att de är tacksamma att Amazon tog dem på allvar då mer än 200 miljoner Alexa-prylar i cirkulation var direkt påverkade.

Källa: Tekniksmart.se